2014年に発覚した「ベネッセコーポレーション」（岡山市）の顧客情報流出事件をめぐり、顧客計185人が同社とシステム開発・運用を行っていた関連会社「シンフォーム」に対し慰謝料など計1458万円の損害賠償を求めた訴訟の判決が6月20日、東京地裁（朝倉佳秀裁判長）であった。

朝倉裁判長は2社の過失は認めたものの、「慰謝料が発生する程の精神的苦痛があると認めることはできないと言わざるを得ない」として請求を棄却した。

原告側は控訴したが、今回の東京地裁判決をどのように考えれば良いのか。今後の個人情報漏えい事件に影響を与える可能性はあるのか。個人情報保護の実務に詳しい影島広泰弁護士に聞いた。

ーー今回の判決での、ベネッセと関連会社であるシンフォームの過失認定について、評価をお願いします。

シンフォームの過失を認定した部分は、オーソドックスな判断だと思います。今回の事件は、シンフォームがベネッセからシステム開発を受託し、その再委託先（ベネッセから見ると再々委託先）の会社の従業員が情報を持ち出した事件です。

シンフォームは情報管理に関して様々な措置を講じていましたが、業務用パソコンにおいて、USBポートからスマートフォンへの書き出しが可能になる「MTP」と呼ばれる機能が無効になっておらず、その機能を利用して情報が盗まれてしまいました。業務上パソコンにはセキュリティソフトが導入されていたのですが、2011年夏から情報が盗まれた2013年7月ごろまでの間、アップデートされていませんでした。

この点について、判決は、「シンフォーム社は、スマートフォンをUSBに接続することによる個人情報の漏えいの危険性を認識し得たとし、書き出し制御措置を講ずべき注意義務があったにもかかわらず、この措置を講じていなかった点に注意義務違反がある」と判断しました。

確かに、セキュリティソフトを2年にわたってアップデートせず、スマートフォンをUSBに接続して情報を盗むことを防止する機能も導入しなかった点は、過失であると判断されて当然のように思われます。

ーーベネッセの過失認定については、どうでしょうか。 ベネッセの過失を認めた点については、若干の疑問があるように思います。

判決は、委託先であるシンフォーム社に対する監督義務の一環として、セキュリティソフトウェアの変更について適切に監督をすべき注意義務があったとし、変更をすべき旨を指摘することなく放置していた点に注意義務違反があったと判断しています。

しかし、個人情報保護法が定める委託先に対する監督義務は、当時の経済産業分野ガイドライン（経済産業省）においても、現在の通則ガイドライン（個人情報保護委員会）においても、（1）適切な委託先の選定、（2）委託契約の締結、（3）委託先における個人データの取扱状況の把握の3つであるとされています。

今回のケースは、（3）の取扱状況の把握に関する義務違反をベースにした「過失」ということになると思われます。しかし、委託先においてセキュリティソフトがアップデートされておらずUSBポートにおけるMTP機能を利用した情報の書き出しが無効になっていない、という細かいレベルでの個別の安全管理措置の実施状況まで把握して、対策を講じさせる義務があるとするのは、委託先との関係で一般的には現実的ではないように思います。

ベネッセ事件には特殊な事情があったのであれば、その点についてもう少し詳しく判断して欲しいと思うところです。

ーー情報の流出で慰謝料を認めた「宇治市住民基本台帳データ漏洩事件」（1999年）や「Yahoo!BB顧客情報流出事件」（2004年）などの判例との整合性について、どう考えますか。

宇治市住民基本台帳データ漏えい事件は「不安・精神的苦痛をいうものであり、それ以上に、被控訴人らが具体的に何らかの被害を被ったことは、主張立証されていない」としつつも1人あたり1万円の慰謝料請求を認めました。

Yahoo!BB顧客情報流出事件でも「不正取得された原告らの個人情報が不特定の第三者にいついかなる目的でそれが利用されるか分からないという不安感」を主張して1人あたり6000円の慰謝料請求が認められています。

これに対して、今回のケースは実損害がないなどとして慰謝料請求を認めていません。もちろん事件ごとに事情は異なりますから、理論的に整合していないということはありませんが、従来の裁判例の流れとは異なる判断であるように思われます。

ーー今回の東京地裁判決と「不法行為における損害に関する法令の解釈適用を誤った結果、上記の点について審理を尽くさなかった違法があるといわざるを得ない」などと指摘した最高裁判決（2017年10月23日）との整合性をどのように考えれば良いのでしょうか。

今回の地裁判決は、ベネッセ最高裁判決を引用した上で、氏名等の基本的な情報が漏えいしただけでもプライバシーを侵害されたとしていますので、この点は同最高裁判決と整合しています。

その上で、最高裁判決が大阪高裁に審理すべきとして差し戻した理由の1つである「精神的損害の有無及びその程度」について、本判決は、「個人情報の漏えいによる精神的損害の有無及びその程度等については、流出した個人情報の内容、流出した範囲、実害の有無、個人情報を管理していたものによる対応措置の内容等、今回のケースにおいて顕れた事情を総合的に考慮して判断すべきである」とした上で、

（1）氏名や住所等は日常的に開示することが多く私的領域の情報という性格が低いこと

（2）漏えいした情報が、例えばインターネット上で検索できる状態にされたといった事情もない

（3）ダイレクトメールが増えた気がするという以上に実害が生じたことはうかがわれないこと

（4）500円相当の金券を配布したこと

などを考慮して、慰謝料が発生する程の精神的苦痛があると認めることはできないと判断しました。

この判断は、最高裁判決が、大阪高裁判決が審理を尽くさなかったとした「精神的損害の有無及びその程度」について検討した上で、判断した形になっていますので、最高裁判決と不整合であるとはいえないように思います。

もっとも、最高裁判決の考え方を素直に解釈すれば、単なる不快感等を越える損害の発生についての主張、立証がなくても慰謝料請求が認められてしかるべきである、という考え方はあり得るでしょう。

他方、企業側から見れば、情報漏えいを100%防ぐ方法は存在しない以上、違法に収集した訳ではなく、契約の履行のためなどに必要があって提供を受けて利用していた個人情報について、過失により漏えいしてしまった場合に、必ず損害賠償義務を負うというのはおかしいという感覚もあるでしょう。控訴審がどのように判断するか、注目されるところです。

ーー今回の地裁判決の影響をどのように考えますか。

情報管理の企業実務への影響についていえば、先ほど述べたとおり委託先の監督のレベルが、現在の実務的な感覚よりもかなり高度なものとされている点に注意が必要であると考えます。

なお、今回のケースは、ベネッセとシンフォームのみが被告となっており、故意により情報を持ち出した犯人を雇用していた企業（再々委託先）は被告になっていません。企業は、自社の社員が故意で情報漏えいしたケースでは、今回と同じ結論になるとは限らないことに留意が必要です。

ーー今回の判決では、海外の個人情報流出の事例にも触れています。

はい。今回の判決は、個人情報が流出したということだけで損害賠償を命じた裁判例は先進国で見当たらないという事情を認定している点も注目に値します。

確かに、個人に対する損害賠償を認めた裁判例はないのだと思いますが、EU諸国では個人データの漏えいに対する課徴金が課せられたケースが多くあります。

2018年5月に施行された一般データ保護規則（GDPR）では課徴金の上限が2000万ユーロ（日本円で約26億円）またはその企業の全世界年間売上高の4%のいずれか高い方と高額なものになりました。

米国でも、SNS上の情報が非公開であったはずなのに公開される設定になってしまっていたケースで集団訴訟が提起され、企業側が支払う形で和解が成立したり、連邦取引員会（FTC）による行政的な措置が行われたりしています。

もちろん、これらは、氏名や住所等が漏えいしただけのケースで本人に対する損害賠償が認められたものではありません。しかし、世界では、基本的な個人情報の漏えいであっても企業側が責任を問われ金銭的な負担をすることがあり得るという点は、企業の法務担当者は誤解しないようにする必要があると考えます。

（弁護士ドットコムニュース）

【取材協力弁護士】
影島 広泰（かげしま・ひろやす）弁護士
03年弁護士登録。ITシステム・ソフトウェアの開発・運用に関する案件、情報管理や利活用、ネット上の紛争案件等に従事。日本経済新聞の2016年「企業法務・弁護士調査」情報管理部門の「企業が選ぶ弁護士ランキング」2位。
事務所名：牛島総合法律事務所
事務所URL：http://www.ushijima-law.gr.jp/